引言：在构建安全网络环境的过程中，防火墙作为第一道安全防线，既可为内部网络提供必要的访问控制，又不会造成网络的瓶颈，保护网络内部的关键资源。本文结合笔者所用的天融信防火墙经常遇到的几种故障实例，谈谈防火墙的维护与故障排除方法。

防火墙是目前使用最为广泛的一种网络安全技术。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。在构建安全网络环境的过程中，防火墙作为第一道安全防线，既可为内部网络提供必要的访问控制，又不会造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护网络内部的关键资源。由此可见，对于连接到Internet的企业内部网络而言，选用防火墙是非常必要的。下面就结合笔者所用的天融信防火墙经常遇到的几种故障实例，来谈谈如何防护墙的维护。

实例一：客户机无法Telnet或GUI管理防火墙

遇客户机无法Telnet或GUI管理防火墙的情况，应首先检查防火墙登录控制中是否允许Telnet或GUI管理，若防火墙客户端列表中无Telnet或GUI管理，则增加防火墙Telnet或GUI管理登录客户。注意，正确选择登录客户的类型和正确填写该登录用户的IP地址范围。

其次，检查登录源主机的IP是否在设定的IP地址范围内，若不在设定范围内，则更改源主机的IP在设定的IP地址范围内。这一点特别要注意，很多防火墙维护人员为了方便，无限制地扩大了管理防火墙的IP地址范围，这样无疑给整个网络增加了新的安全隐患。然后，检查该防火墙是否为首次使用的新墙，如果是，则确认使用集中管理器（GUI管理）登录防火墙的计算机应连接在防火墙ETH2内网接口上。

最后，检查是否有相同用户名的用户已经登录防火墙，由于同名用户不允许在同一时间登录同一台防火墙，因此若同用户已经登录则应更该登录用户名，这个现象经常会遇到，特别是那种网页式的防火墙，虽然限定了用户的无响应时间，但在这个时间段内从别的计算机登录时则无法管理防火墙。

实例二：增加策略禁止某主机，该主机仍能通过防火墙。

这种情况下首先应检查该主机与通信目标主机间的通信通道是否经过防火墙，如果不经过防火墙，再好的策略也无法起作用，也不能通过增加防火墙策略禁止该主机和目标主机间的通信。其次，检查是否已有策略允许该主机通过防火墙，若存在该许可策略则删除掉，大部分防火墙都遵循策略序号，即是从策略序号小的开始执行，一旦一条策略对某台主机生效后，后面针对该台主机的策略也是无法执行的，这一点要特别注意。最后，检查测试源主机是否配置双网卡以及多个IP地址，若是则禁用其中一个网卡。

实例三：IP地址绑定未起作用

遇到这种情况时应该认真分析，其实IP地址绑定分为IP地址与MAC地址绑定和IP地址与用户绑定。当IP地址绑定未起作用时，检查绑定IP是否经过其他路由设备（路由器、三层交换机）才到达防火墙，由于通过路由设备后IP地址已被更改，原绑定IP地址失效，解决方法是更改路由设备为交换设备。

实例四：使用防火墙后原本可互相访问的主机无法通信

出现此问题主要有以下几个原因：

第一，主机所在的不同区域配置成disable，应保证区域配置为enable。

第二，通信双方主机在同一网段，防火墙设置的VLAN不包含主机所在的区域，应检查防火墙的VLAN设置，必须有一个VLAN包含主机所在的区域。

第三，通信双方主机不在同一网段，主机间没有路由设备，防火墙配置成透明模式，应在防火墙的两个接口上配置相应的IP地址，并把防火墙配置为路由模式。

第四，通信双方主机不在同一网段，主机间有路由设备，没有主机与路由设备在同一防火墙VLAN中，应保证其中一台主机与路由设备在同一个防火墙VLAN中。

第五，主机所在的区域访问策略中有禁止主机双方通信的策略，或主机所在区域的缺省访问权限是禁止的，应删除禁止访问策略，并保证缺省访问权限是允许的。

经验总结

在很多人眼里，防火墙无疑是“高大上”的，但作为网络安全运维人员角度来看，防火墙无疑就是“软件+硬件”的结合体，最重要的部分就是软件，软件水平的高低直接决定了防火墙的性能。默认情况下，所有的防火墙都是按拒绝所有的流量或允许所有的流量，因此在防火墙的配置中，首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置中需坚持以下三个原则。

一是简单实用原则。对防火墙环境设计来讲就是越简单越好。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。目前常用的防火墙在基本功能上都或多或少都增加了一些特殊功能，但这些增值功能并不是所有应用环境都需要，在配置时可针对具体环境进行配置，不必对每一功能都详细配置。

二是全面深入原则。单一的防御措施是难以保障系统安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。

三是内外兼顾原则。防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以要从根本上改变过去防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。部署与上述内部防护手段一起联动的机制。